Nowe luki w zabezpieczeniach Androida stanowią ponad 1 miliard urządzeń zagrożonych zdalnym hakowaniem

Nowo odkryte luki w zabezpieczeniach sposobu przetwarzania plików multimedialnych przez system Android mogą umożliwić atakującym złamanie zabezpieczeń poprzez nakłanianie użytkowników do odwiedzenia złośliwie spreparowanych stron internetowych.

Luki mogą prowadzić do zdalnego wykonania kodu na prawie wszystkich urządzeniach uruchom Androida, począwszy od wersji 1.0 systemu operacyjnego wydanej w 2008 roku do najnowszej wersji 5.1.1, naukowcy z mobilnej firmy ochroniarskiej Zimperium powiedzieli w raporcie, który ma zostać opublikowany w czwartek.

Luki mają związek z tym, że Android przetwarza metadane Pliki audio MP3 i pliki wideo MP4 i można je wykorzystać, gdy system Android lub inna aplikacja korzystająca z bibliotek multimediów systemu Android wyświetla podgląd takich plików.

[Więcej informacji: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Badacze Zimperium znaleźli podobne wady przetwarzania multimediów na początku tego roku w bibliotece Androida o nazwie Stagefright, którą można było wykorzystać, wysyłając urządzeniom z Androidem złośliwie spreparowany bałagan MMS wiek.

Te luki spowodowały skoordynowany proces łatania od producentów urządzeń, którego główny inżynier Androida, Adrian Ludwig, nazwał "pojedynczą największą zunifikowaną aktualizacją oprogramowania na świecie." Przyczynił się również do Google, Samsunga i LG, zobowiązując się do miesięcznego bezpieczeństwa aktualizacje w przyszłości.

Jedna z wad odkrytych niedawno przez Zimperium znajduje się w głównej bibliotece Androida o nazwie libutils i dotyczy prawie wszystkich urządzeń z wersją Androida starszą niż 5.0 (Lollipop). Luka może być również wykorzystana w Androidzie Lollipop (5.0 - 5.1.1), łącząc ją z innym błędem znalezionym w bibliotece Stagefright.

Badacze Zimperium odnoszą się do nowego ataku jako Stagefright 2.0 i uważają, że dotyczy on ponad 1 miliarda urządzenia.

Odkąd poprzedni wektor ataku MMS został zamknięty w nowszych wersjach Google Hangouts i innych aplikacji do obsługi wiadomości po wykryciu wcześniejszych wad Stagefright, najbardziej prostą metodą wykorzystywania najnowszych luk jest przeglądarka sieciowa Zimperium. naukowcy powiedzieli:

Atakujący mogą nakłonić użytkowników do odwiedzania stron internetowych, które wykorzystują lukę poprzez linki w wiadomościach e-mail i wiadomościach błyskawicznych lub za pośrednictwem złośliwych reklam wyświetlanych na legalnych stronach internetowych.

Atakujący pośredniczący w manii, którzy są w stanie przechwytywać połączenia internetowe użytkowników, na przykład w otwartych sieciach bezprzewodowych lub poprzez zaatakowane routery, może wstrzyknąć exploit bezpośrednio w niezaszyfrowany ruch sieciowy.

Th odtwarzacze multimedialne typu ird-party lub komunikatory internetowe, które bazują na podatnej na ataki bibliotece Androida, aby odczytać metadane z plików MP3 i MP4, mogą być również użyte jako wektor ataku, powiedział naukowiec.

Zimperium zgłosił luki do Google 15 sierpnia i planuje wydać kod exploita z proof-of-concept po wydaniu poprawki.

Ta poprawka pojawi się 5 października w ramach nowej zaplanowanej miesięcznej aktualizacji zabezpieczeń systemu Android, powiedział przedstawiciel Google.

Google śledzi luki w zabezpieczeniach CVE-2015-3876 i CVE-2015-6602. Udostępniono im łatki z partnerami OEM 10 września wraz ze wszystkimi poprawkami, które zostaną uwzględnione w październikowej aktualizacji zabezpieczeń.

Wcześniejsze luki w oprogramowaniu Stagefright skłoniły badaczy do sondowania bibliotek przetwarzania multimediów Androida pod kątem dodatkowych luk. Naukowcy od producenta oprogramowania antywirusowego Trend Micro od tego czasu odkryli i zgłosili wiele problemów w tych komponentach.

"Ponieważ coraz więcej naukowców badało różne luki występujące w bibliotece Stagefright i powiązanych bibliotekach, spodziewamy się, że zobaczymy więcej słabych punktów w tym samym obszarze - badacze Zimperium powiedzieli w swoim raporcie. "Wielu naukowców w społeczności powiedziało, że Google odpowiedziało na zgłoszone przez siebie błędy, które powiedziały, że są duplikowane lub zostały już odkryte wewnętrznie."

Zimperium planuje aktualizację swojej darmowej aplikacji Detektor Stagefright z wykrywaniem wad po udostępnieniu łat.